Le 7 avril 2026, Anthropic a officiellement présenté Claude Mythos Preview, un modèle d'intelligence artificielle si puissant que la société a refusé de le rendre public. La raison ? En quelques semaines, ce modèle a détecté des milliers de vulnérabilités zero-day dans tous les grands systèmes d'exploitation et navigateurs web de la planète, dont un bug vieux de 27 ans qui avait échappé à des millions de scans automatisés. Pour comprendre pourquoi cela fait frémir la communauté de la cybersécurité, il faut d'abord saisir ce qu'est une vulnérabilité zero-day, et en quoi elle diffère de toutes les autres menaces informatiques.
C'est quoi une vulnérabilité zero-day ?
Définition et origine du terme
Une vulnérabilité zero-day, parfois écrite 0-day, désigne une faille de sécurité dans un logiciel, un système d'exploitation ou un matériel informatique qui est inconnue de l'éditeur responsable de ce logiciel. Le terme vient du monde du développement : quand une faille est découverte et signalée à l'éditeur, celui-ci a un certain nombre de jours pour la corriger avant qu'elle ne soit rendue publique. Une faille zero-day, c'est l'éditeur qui a eu zéro jour pour réagir, parce qu'il ne la connaît tout simplement pas encore.
En d'autres termes, la faille existe dans le code, elle est potentiellement exploitable, mais personne du côté des défenseurs ne sait qu'elle est là. Les seuls à pouvoir en avoir connaissance sont ceux qui l'ont découverte, qu'il s'agisse d'un chercheur en sécurité agissant de bonne foi, ou d'un acteur malveillant qui va s'en servir à des fins criminelles ou d'espionnage.
Pourquoi est-elle particulièrement dangereuse ?
La dangerosité d'une vulnérabilité zero-day tient précisément à cette asymétrie d'information. Du côté des attaquants, tout est possible : ils peuvent exploiter la faille librement, sans contrainte de temps, sans risque que l'éditeur publie un correctif pour leur couper l'herbe sous le pied. Du côté des défenseurs, c'est l'impuissance totale : impossible de corriger ce qu'on ne voit pas. Aucun antivirus, aucun pare-feu, aucun système de détection classique ne peut protéger contre une faille dont on ignore l'existence.
C'est ce qui rend les zero-days si précieuses sur les marchés clandestins. Une faille zero-day critique dans un système très répandu peut se négocier à plusieurs centaines de milliers, voire plusieurs millions de dollars entre acteurs malveillants, services de renseignement ou groupes cybercriminels organisés. Plus le logiciel concerné est populaire, plus la faille est sévère, plus sa valeur est élevée.
Des exemples concrets qui ont marqué l'histoire
Stuxnet, découvert en 2010, reste l'exemple le plus emblématique. Ce ver informatique exploitait pas moins de quatre vulnérabilités zero-day simultanément pour saboter les centrifugeuses nucléaires iraniennes. Plus récemment, la faille Log4Shell, découverte fin 2021 dans la bibliothèque Java Log4j, a exposé des centaines de millions de systèmes à travers le monde. Et en 2021 toujours, une série de zero-days dans Microsoft Exchange a permis à des groupes de pirates liés à la Chine de compromettre des dizaines de milliers d'organisations. Dans chacun de ces cas, la fenêtre d'exploitation ouverte avant la correction a causé des dégâts considérables et souvent irréversibles.
Claude Mythos Preview : le modèle qui redéfinit la détection de failles
Des performances qui explosent tous les benchmarks
Claude Mythos Preview n'est pas un modèle d'IA parmi d'autres. Ses scores sur les benchmarks de référence sont tout simplement sans précédent. Il affiche 93,9 % sur SWE-bench Verified, qui mesure la capacité à résoudre des bugs réels dans des bases de code complexes, 83,1 % sur CyberGym, le benchmark spécialisé en cybersécurité, et un score parfait de 100 % sur Cybench, au point de rendre ce dernier test littéralement obsolète puisqu'il ne permet plus de différencier les meilleurs modèles. Il atteint également 94,6 % sur GPQA Diamond, un test de raisonnement scientifique de très haut niveau.
Ces chiffres ne sont pas de simples statistiques abstraites. Ils signifient concrètement que Claude Mythos comprend du code avec une profondeur et une précision que les outils automatisés précédents ne pouvaient tout simplement pas atteindre.
Des capacités cyber issues du raisonnement général, pas d'un entraînement spécialisé
Ce qui rend Claude Mythos encore plus troublant, c'est l'explication qu'en donne Anthropic elle-même. Ces capacités extraordinaires en cybersécurité ne sont pas le résultat d'un entraînement spécialisé dans l'analyse de vulnérabilités. Elles découlent directement des progrès généraux du modèle en matière de raisonnement, de codage agentique et d'autonomie. En d'autres termes, Mythos est capable de comprendre le code à un niveau si fondamental qu'il peut en déduire des failles que personne n'avait pensé à chercher à cet endroit précis.
Cela change radicalement la donne. Jusqu'ici, les outils de détection de vulnérabilités fonctionnaient sur la base de signatures et de patterns connus. Mythos, lui, raisonne sur la logique même du code, ce qui lui permet de trouver des classes de vulnérabilités entièrement nouvelles.
Des milliers de zero-days trouvées en quelques semaines
En tests internes, Claude Mythos Preview a identifié des milliers de vulnérabilités critiques dans chaque grand système d'exploitation, qu'il s'agisse de Windows, macOS, Linux ou d'autres, et dans chaque grand navigateur web. Ce qui prenait auparavant des mois de travail à des équipes entières de chercheurs en sécurité se fait désormais en quelques minutes. La réduction du temps de découverte est si drastique qu'elle remet en question l'ensemble de l'architecture de la cybersécurité défensive telle qu'elle existe aujourd'hui.
Le cas concret : un bug de 27 ans dans OpenBSD
Ce que des millions de scans automatisés n'avaient jamais vu
Parmi les découvertes les plus marquantes de Claude Mythos figure une vulnérabilité dans OpenBSD, un système d'exploitation réputé pour sa sécurité rigoureuse. Cette faille était présente dans le code depuis 27 ans. Elle avait survécu à des années de revues de code humaines, à des millions de scans automatisés, à des audits de sécurité réguliers. Aucun outil, aucune équipe n'avait réussi à la détecter.
Mythos l'a trouvée. La nature exacte de cette vulnérabilité n'a pas été rendue publique pour des raisons évidentes, mais sa simple existence illustre une vérité brutale : nos infrastructures numériques reposent sur du code qui contient probablement des dizaines, voire des centaines de failles similaires, patientes, invisibles, et potentiellement exploitables à tout moment.
Ce que cela révèle sur les limites des outils traditionnels
Ce cas concret met en lumière une limite fondamentale des approches classiques de la cybersécurité. Les scanners automatisés cherchent des patterns, des signatures, des comportements déjà répertoriés. Ils sont excellents pour détecter ce qu'on leur a appris à chercher, mais incapables de raisonner sur ce qu'ils ne connaissent pas encore. Un bug vieux de 27 ans dans un code mature et audité est précisément le type de vulnérabilité qui échappe à toutes ces méthodes, parce qu'elle ne ressemble à rien de connu.
Pourquoi Anthropic refuse de rendre Mythos public
Le "jour J" : quand une IA devient un risque systémique
Anthropic emploie elle-même le terme de "jour J" pour qualifier la situation créée par Claude Mythos Preview. Pour la première fois dans l'histoire de l'intelligence artificielle, un modèle seul représente un risque systémique pour les infrastructures numériques mondiales. Si ce modèle tombait entre de mauvaises mains, ou s'il était rendu librement accessible, des acteurs malveillants disposeraient d'un outil capable de trouver des failles critiques dans n'importe quel système en quelques minutes, sans expertise humaine particulière.
Le potentiel offensif entre de mauvaises mains
La puissance défensive de Mythos est aussi, mécaniquement, une puissance offensive redoutable. Un groupe cybercriminel, un État autoritaire ou même un individu mal intentionné qui accèderait à un tel outil pourrait cartographier les failles de systèmes critiques, qu'il s'agisse de réseaux électriques, d'hôpitaux, de systèmes bancaires ou d'infrastructures gouvernementales, avec une efficacité et une rapidité sans précédent. C'est cette réalité qui justifie la décision d'Anthropic de ne pas publier le modèle.
La fenêtre critique entre découverte et exploitation
Dans la cybersécurité, il existe toujours une fenêtre dangereuse entre le moment où une vulnérabilité est découverte et le moment où un correctif est déployé et appliqué par tous les utilisateurs. Avec Mythos, cette fenêtre prend une dimension nouvelle : le modèle peut découvrir des failles à une vitesse telle que les équipes de correction ne peuvent pas suivre le rythme si les découvertes étaient rendues publiques ou exploitées immédiatement. D'où l'approche contrôlée et confidentielle choisie par Anthropic.
Project Glasswing : la réponse encadrée d'Anthropic
Un consortium de géants technologiques mobilisé
Pour répondre à ce défi inédit, Anthropic a lancé simultanément Project Glasswing, une initiative de cybersécurité collaborative. Parmi les partenaires nommés figurent des acteurs de premier plan : AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, Nvidia et Palo Alto Networks. Ces onze grandes entreprises sont rejointes par plus de quarante organisations supplémentaires, soit une cinquantaine de partenaires au total impliqués dans la démarche.
Un accès restreint à des organisations triées sur le volet
L'accès à Claude Mythos Preview est strictement encadré et réservé à ces organisations partenaires sélectionnées. Le principe est simple : utiliser les capacités du modèle exclusivement dans un but défensif, identifier les vulnérabilités dans les produits et systèmes des partenaires, et les corriger avant que quiconque d'autre ne les découvre et les exploite. C'est une approche de divulgation responsable à une échelle et à une vitesse inédites.
100 millions de dollars pour sécuriser les infrastructures mondiales
Le consortium mobilisé autour de Project Glasswing a engagé un financement de 100 millions de dollars pour mener à bien cette mission. L'objectif est clair : transformer le risque systémique représenté par Mythos en opportunité défensive, en s'assurant que les failles découvertes soient corrigées avant que le modèle ne soit un jour plus largement diffusé, ou avant qu'un acteur malveillant ne parvienne à développer des capacités comparables.
Quelles implications pour la cybersécurité de demain ?
L'IA comme bouclier ou comme épée ?
Claude Mythos cristallise une tension fondamentale qui va définir la cybersécurité des prochaines années : la même technologie qui permet de détecter et corriger des failles critiques à une vitesse sans précédent est aussi celle qui permettrait à des attaquants de les exploiter avec une efficacité jamais atteinte. L'IA est à la fois le meilleur bouclier imaginable et la plus redoutable des épées. La différence entre les deux scénarios tient entièrement à qui contrôle l'accès à ces modèles et dans quel cadre ils sont utilisés.
La course entre attaquants et défenseurs accélérée par l'IA
La cybersécurité a toujours été une course entre attaquants et défenseurs. L'IA généraliste de très haut niveau comme Mythos accélère cette course à une vitesse vertigineuse. Les défenseurs qui disposeront de ces outils en premier, et qui sauront les utiliser de manière responsable, auront un avantage considérable. Mais si des acteurs malveillants parviennent à développer ou à obtenir des capacités comparables, les conséquences pourraient être catastrophiques pour des infrastructures qui, comme le montre le bug de 27 ans dans OpenBSD, contiennent encore des failles que personne ne soupçonnait.
Vers une nouvelle norme de détection proactive des vulnérabilités
À plus long terme, l'initiative d'Anthropic et de Project Glasswing esquisse ce que pourrait devenir la norme en cybersécurité : une détection proactive et systématique des vulnérabilités, menée par des IA de raisonnement avancé, avant même que ces failles ne soient connues ou exploitées. Cela nécessite une coopération entre acteurs technologiques majeurs, des cadres de gouvernance solides, et une réflexion éthique sérieuse sur la manière dont ces outils sont développés, détenus et utilisés. Anthropic, en refusant de rendre Mythos public et en construisant un cadre collectif, pose les premières pierres de cette nouvelle architecture de sécurité.
Conclusion : un tournant historique dans la sécurité numérique
Claude Mythos Preview ne représente pas simplement une avancée technique supplémentaire dans la longue histoire de l'intelligence artificielle. Il marque un véritable seuil : celui où une IA devient suffisamment capable pour transformer radicalement la nature même de la cybersécurité mondiale, dans un sens comme dans l'autre. Les milliers de vulnérabilités zero-day qu'il a découvertes en quelques semaines, et le bug de 27 ans dans OpenBSD qui en est le symbole le plus frappant, nous rappellent que nos infrastructures numériques sont plus fragiles qu'on ne le croit, et que l'ère où ces fragilités pouvaient rester cachées indéfiniment est peut-être en train de toucher à sa fin. La vraie question n'est plus de savoir si l'IA va transformer la cybersécurité, mais de savoir si nous serons prêts à gérer cette transformation avant que d'autres ne s'en emparent à nos dépens.
